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Abstract 



The subscribers (A,B etc.) are connected to a key distribution centre (SVZ) for the 
preauthentication phase in which they signal their identities in accordance with the El 
Gamal scheme. The centre selects a Galois field GF(q) and a primitive (alpha) which is 
raised to the power of a negative random number (x) to form the public part of the key. 
In the following exchange phase two subscribers produce a common secret key by a 
modified Diffie-Hellmann method. 

ADVANTAGE - Flexible enough for extension to new and individually distinguishable 
subscribers, and requires little memory capacity. 
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Verf ahren zum authentifizierten Schlusselaustausch. 



@ Oer erfindungsgemasse Schlusselaustausch findet In 
einem Netz mit elner Schlusselverteitzentrale SVZ und 
mehreren Benutzem A. B, ... statt und weist zwei Phasen 
auf, namlfch eine Praauthenttfikationsphase und eine 
SchlQsselaustauschphase. In der Praauthentifikations- 
phase kommt Jedef Benutzer A, B> ... zur Schlussefverteil- 
zentrale SVZ und lasst sich sefne Identitat mft dem EK 
Gamal Schema signieren. Jn der nachfolgenden SchlQssel- 
austauschphase erzeugen zwei Benutzer A und B einen 
gemelnsamen Geheimschlussel z nach einem abgeander- 
ten Dtffie-HeHmann Verfahren, 
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Beschreibung 

Technisches Gefaiet 

Die Erfindung betrifft ein Verfahren zum authen- 
tffizierten Schiusselaustausch In einem Netz mit ei- 
ner SchfDssetverteilzentrale und mehreren Teilneh- 
mern. 

Stand derTechnik 

Verfahren zur Erzeugung von authentifizlerten 
GehelmschiOsseln werden z.B. In der eurdpiischen 
Palentanmeldung EP-A 0 307 627 und in der deut- 
schenAuslegeschrTftDE-A39t5262 beschriebea 

Das erste der beiden Verfahren fuhrt die Au- 
thentffikation fiber das offentliche Telefonnetz 
durch und 1st entsprechend nicht fQr al!e Anwen- 
dungen glelchermassen geelgnet Das zwefte Ver- 
fahren verwendet eine praauthentifcierte Liste 
von offentiichen Teiinehmerschlusselri und ist fur 
den automatischen Betneb entworfen worden. Bei 
der Aufnahme elner Verbindung muss jedoch der 
offentliche Teflnehmerschlussel jeweifs aus der 
praauthentiftzierten Uste gelesen werden. Dabei 
gibt es zwei Moglichkeften: Entweder wird die Liste 
In Jedem Gerat gespeichert, was be? grossen Net- 
2en viel Speicheiplatz (proportional zur Teilnehmer- 
zahl) beansprucht und bei Netzerwefterungen eine 
aufwendige InformafionsGbertragung verfangt, 
oder die Uste wird zentral gefuhrt, was bei jedem 
Verbindungsaufbau zwei Rflckfragen an die Schius- 
selverteilzentrale verlangt 

Eine zentrale Liste mit lokalen Aus20gen steiht fQr 
vfeie Anwendungen eine vemQnftige Losung dar. 
Dart wo jedoch <fie Verbindung bei wenig Speicher- 
platz, autonom aufgebaut werden sort und eine Au- 
therrtifikation der Teiinehmer einzetn notwendig 1st, 
ist auch dieses Verfahren nicht sehr hilfreich. Bei- 
spiele dafur sind Nefee von POS-Terminals, mobile 
Telefonsystetne und sonsfige Funknetze sowie 
Computemetze. 

Zur Identifikation <u.a. an POS-Terminals) sind 
von 

- Hat und Shamir («How to Prove Yourself. Practi- 
cal Solutions to Identification and Signature Pro- 
blems», Advances In Cryptology CRYPTO'86, 
Lecture Notes in Computer Science, Vol 263 f pp. 
186-194, Springer Verlag 1987), 

- LC. Guiflou, J.-J. Quisquater («A Practical Zero 
Knowledge Protocol Fitted to Security Micropro- 
cessor Minimizing Both Transmission and Memory, 
Advances fn Cryptology - EUROCRYPT88, Lec- 
ture Notes In Computer Science, Vol 330, pp. 123- 
128, Springer Verlag 1 988), und von 

- T. Beth, {-Efficient Zero Knowledge Identification 
Scheme for Smart Cards*, Advances fn Cryptolo- 
gy - EUROCHYPT88, Lecture Notes in Computer 
Science, Vol 330, pp. 77-84 Springer Verlag 1988) 
sogenannte «zero knowledge proofs* vorgeschia- 
gen worden. Bei einem sofchen «zero knowledge 
proof* geht jeder Benutzer in einer Praauthentifika- 
tionsphase zur Schlussefverteifzentrale, weist sich 
aus und bekommt von der Zentrale den offentiichen 
NetzschiOssel sowie die zu seiner Jdentitat ID (z.B. 



AHV-Nummer) geh6rige Signatur S {ID), welche die 
Zentrale mit dem geheimen NetzschiOssel faiidet 

Will sich nun A gegenQber einem anderen Benut- 
zer B ausweisen, so beweist er in einem Protokoll 
5 mit B, dass er S(ID) kennt, ohne die Signatur seifast 
preiszugeberf. Die Signatur wird dabei unter Ver- 
wendung des offentiichen NetzschJOssels geprOft 

Darsteliung der Erfindung 

10 

, Aufgabe der Erfindung ist es, ein Verfahren zum 
authentifizierten SchlGsselaustausch in einem Netz 
mit einer SchiOsselverteilzentrale und mehreren 
Teilnehmern anzugeben, welches flexibel in bezug 
15 auf die Erweiterung durch neue Benutzer ist einen 
geringen Speicherbedarf hat und die Nachteiie der 
bekannten Verfahren vermeidet 

Erfindungsgemass besteht die Lfisung darin, 
dass in einer Praauthentifikationsphase 

a) die SchiOsselverteilzentrale eine Funktion f(.) 
zur Erzeugung von Identitatsnummem, einen endil- 
chen Korper GF(q), in welchem die Ftechenoperatfo- 
nen ausgefOhrt werden, eine Funktion g: GF(q) x 

25 QF(q) -> GF(q), ein primitives Element a e GF(<# 
und eine geheime erste Zufoilszahl x wahlt, aus wel- 
chen ste einen offentiichen NetzschiOssel y « <r* 
bildet, 1 

b) die SchiOsselverteilzentrale jedem Benutzer ei- 
30 ne Identitatsnummer ID « f(A) signlert indem die 

SchiOsselverteilzentrale eine geheime zweite Zu- 
fellszahl k wahlt, weiche die Eigenschaft gcd(k,q-l) 
= 1 hat, aus der ZufalfszahJ k einen offentiichen Be- 
nutzerschlussef r » a* und einen geheimen Benut- 
35 zerschlOssel s mit da- Eigenschaft xr+ks « ID mod 
(q-1) bildet und dem Benutzer seine faefden Benut- 
zerschiussei mitteilt, 

und dass in einer SchlOsselausfauschphase zwh 
schen einem ersten Benutzer A und einem zweiten 
40 Benutzer B 

c) jeder der beiden Benutzer A resp. B dem ande- 
ren seinen dffentlichen BenutzerschlQssel r resp. 
r mitteilt, 

d) jeder der beiden Benutzer A resp. B die Identj- 
45 tatsnummer ID' = f(B) resp. ID «- f{A) bildet und aus 

dieser Identitatsnummer und dem BenutzerschlQs- 
sel r resp. r des Jeweils anderen eine Grosse rsr = 
oioy- resp. r* = <x»Y bildet, 

e) jeder der beiden Benutzer A resp. B eine ge- 
50 heime Zufetflszahl t resp. r erzeugt und damft einen 

Code r* resp. rf bildet, welchen er dem anderen 
Benutzer B resp. A mitteiit und 

f) die beiden Benutzer A und B eihen gemeinsa- 
men geheimen Kommunikafionsschiussel 

S5 z»g(rfsrVt)bilden. 

Es versteht sich von selbst, dass der endliche 
Korper GF(q) so gewahlt wird, dass q-1 eine Zahl mit 
mindestens einem grossen Primfaktor ist Bis auf ei- 
ne werden alle erfindungsgemassen Operationen in 
diesem Korper ausgefOhrt 

Mit den bekannten «zero knowledge proo^> Ver- 
fahren hat die Erfindung die Eigenschaft gemein- 
sam, ebenfalls die Signatur der Identitat S(ID) als 
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geheimes Authentifikationsmerkmal zu benutzen. im 
Unterschied zu den bekannten Verfahren wird die- 
ses Merkmal jedoch zur Kbnstruktion eines gemein- 
samen, gegenseifig authentlfizieilen SchiQsseis ■ 
* .verwendet 

Aus den abhangigen PatentansprGchen ergeben 
si'ch vorteilhafte AusfOhrungsfbrmen der Erfin- 
dung. 

Kurze Beschreibung der Zelchnung 

Nachfolgend soli die ErRndung anhand von Aus- 
fQhrungsbeisplelen 1m Zusammenhang mit der Zeich- 
nung naher eriautert warden. Es zeigen: 

Fig. 1 eine schematische Darsteilung der Praau- 
thentifikationsphase; und 

Rg. 2 eine schematische Darsteilung der Schlus- 
selaustauschphase zwfschen zwei Benutzern. 

Die in der Zelchnung verwendeten Bezugszei- 
chen und deren Bedeutung sind in der Bezeich- 
nungsliste zusammenfassend tabelfiert 

Wege zur AusfOhrung der Erfindung 

Der erfindungsgemasse SchlGsselaustausch fin- 
det in einem fQr die Obertragung von digitalen Da- 
ten geeigneten Netz mit einer SchiOsselverteilzen- 
traie SVZ und mehreren Benutzem A, B,... statt 
und weist zwei Phasen auf, namlich eine Praauthen- 
tifikationsphase und eine SchlOsselaustauschpha- 
se. In der Praauthentifikationsphase kommt jeder 
Benutzer A, B,... zur SchiOsselverteilzentraie SVZ 
und lasst sidtx seine Identitat gemass dem Ef-GamaJ- 
Schema signieren. in der nachfolgenden SchlGssel- 
austauschphase erzeugen zwei Benutzer A und B 
einen gemeinsamen GeheimschiQssel z nach einem 
abgeanderten Diffie-Hellmann-Verfahren. 

Rg. 1 zeigt eine schematische Darsteilung der 
Praauthentifikationsphase. AIs erstes wahlt (SE- 
LECT) die Schiilsseiverteiizenfrale SVZ einen endi*- 
chen Korper GF(q), wobei q-1 typischerweise einen 
grossen Primfalctoren aufwetst, und ein primitives 
Element a e GF(q). Dann erzeugt sie zufallig (RAN- 
DOM) als geheimen NetzschiQssel (-private part») 
eine erste Zahi x f aus weicher sie einen offentiichen 
NetzschlOssef (^public part») y = cr* bildet (Es 
versteht sich, dass diese und die spater beschrie- 
benen Operationen im endlichen Korper GF(q) aus- 
gefQhrt werden, wenn es nicht explizit anders spe- 
zifeiert wird.) Weiter definiert sie eine geefgnete 
Funktion f(.) r welche aus den Identrtatsmerkmalen 
eine eindeutige fdenthaisnummer erzeugt SchRess- 
lich definiert sie noch eine geeignete Funktion g: 
GF(q) x GF(q) -> GF(q). Vorzugsweise ist diese 
Funktion das ProdukL 

Die durch f(.) bestimmte Identitatsnummer ID 
kann beispielsweise durch Abtasten des Fingers 
(Rngerabdruck) gebiidet werden. Es kdnnen aber 
auch weitere Merkmaie eingehen. Typischerweise 
ist f(.) eine Enwegfunktion (one way function), die 
auf den Datenstring bestehend aus Namen, Vorna- 
men, Geburtsdatum und eventuell weiteren Merkma- 
len angewandt wird. 



Den endlichen Koq^er GF(q), das primitive Ele- 
ment a und den offentiichen NetzschiQssel y sowie 
die Funktion f(.) gibt die SchiOsselverteilzentraie 
SVZ offentiich bekannt Den geheimen NetzschJGs- 
5 selxspeichertsiezugriffegeschQtztab. 

Die SchiOsselverteilzentraie SVZ hat damit die 
grundlegenden, allgemeinen Vorbereitungen abge- 
schiossen. Nun kommt jeder Benutzer zur Schlus- 
sefvertBikentraJe SVZ und lasst sich seine Identi- 
10 tat gemass dem B-Gamal-Schema signieren. 

Der Benutzer A weist sich aus (z.B. mit seinem 
Reisepass), worauf die SchiOsselverteilzentraie 
SVZ mit Hilfe der Funktion 1 (.) eine eindeutige Iden- 
titatsnummer ID « f(A) berechnet Dann erzeugt sie 
15 zufallig (RANDOM) efne benutzerspezifische Zahl 
k, welche die Eigenschaft gcd(k,<H) = 1 hat (gcd m 
greatest common divisor). Aus der zweiten Zufalfe- 
zahl k bildet sie einen offentiichen BenutzerschlGs- 
sei r = a k und einen geheimen BenutzerschiQssel s 
20 mit der Eigenschaft xr+ks « JD mod (q-1). Die befden 
BenutzerschiQssel r und s teilt sie dem Benutzer A 
mit, der den geheimen BenutzerschiQssel s zugriffe- 
gesichert abspeichert 
Jeder Benutzer, der im Netz zugelassen werden 
25 will, muss die beschriebene Praauthentifikations- 
phase durchfaufen. 

Rg. 2 zeigt eine schematische Darsteilung der 
SchlQsseiaustauschphase. Sfe findet zu Beginn ei- 
ner Kommunikation zwfschen einem ersten Benutzer 
30 A und einem zweiten Benutzer B statt 

Jeder der beiden Benutzer kennt dabei die 6f- 
fentfich bekannten Parameter f(.), g(.,.) f GF(q), a, 
y, sowie seine Schlussel r und s resp. r* und s'. Ty- 
pischerweise hat er auch seine eigene Jdentitats- 
35 nummer ID resp. ID* abgespeichert 

Die beiden Benutzer A und B berechnen als er- 
stes die Identitatsnummer ID* und ID und tauschen 
den offentiichen BenutzerschiGssef r und r aus. 
Als zweites bildet jeder der beiden Benutzer A 
40 resp. B aus der Identitatsnummer ID* resp. ID und 
dem BenutzerschiQssel f resp. r des jeweils ande- 
ren eine Gr6sse » d°V resp. r« » a ipy. Als 
drittes erzeugen sie zufallig (RANDOM) je eine ge- 
heime Zahl t resp. X und errechnen daraus je einen 
45 Code r* resp. r^. Dann wird dieser Code r* resp. 
K ausgetauscht Zum Schluss bildet Ieder der bei- 
den Benutzer A resp. B aus den bekannten Gros- 
sen den gemeinsamen GeheimschiQssel («session 
so key») 

z = g(r*Vs't). 

Das erfindungsgemasse Verfahren hat u.a. fol- 
gende Vorteile: 

55 1. Ausser den eigenen Identffikatfonsmerkmalen 
genGgt die Kenntnis eines einzigen «pubiic keys* 
zum authentifizierten SchlGsselaustausch mit einem 
beiiebfgen anderen Benutzer des Netzes. Das Ver- 
fahren zeichnet sich foiglich durch einen sehr ge- 
60 ringen Speicherbedarf aus. 

2. Jeder praauthentifizierte Benutzer kann mit 
jedem anderen praauthentifizierten Benutzer einen 
authentifizierten SchlGsselaustausch vomehmen, 
ohne dabei auf die SchiOsselverteilzentraie zu- 
65 rQckgreifen zu mGssen (offline authentrfizierter 
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Schlusselaustausch). Hn rnit diesem System betrie- 
benes Netz ist dadurch auch bellebfg flexibel in be- 
zug auf Erweitemng des TeHnehmerkreises. 

3. Dennoch slnd bei dem erfindungsgemassen ' 
Schlusseiaustausch afte TeOnehmer unterscheid- 
bar, dJi, es kann slch keiner fur einen anderen aus- 
geben. 

Zur Sicherhert des erfindungsgemassen SchlOs- 
selaustausches iasst sich folgendes sagen; 

1. Falls man s aus a, y, ID und r bestimmen kann, 
kann man das B-GamaTsche Signaturschema bre- 
chen, welches allgemein als sfcher angesehen wird. 

2. Falls man (rO s aus r, r« und rf bestimmen 
kann, kanrt man den Diffie-Helfmann'schen Schlus- 
selaustausch-AIgorithmue brechen, wclohcr eben- 
faHs allgemein als sfcher angesehen wird. 

Diese Oberiegungen lasseri as als wahrschein- 
Ccb erscheinen, dass bet geeigneter Wahl von q, a, 
x und k die Kenntnis von s resp. s' durch den Benut- 
zer A resp. B uneriassBch ist fQr die Konstruktion 
des SitzungsschiOsseis 2. Das erfindungsgemisse 
Schfusselaustauschverfahren beinhaitet somit eine 
gegenseitige Authentication der Benutzer A und B. 

Der resufflerende SitzungsschlGssel z kann nun 
fQr die verschledensten Anwendungen benutzt wer- 
den, wie z.B» zur Chiffrierung, zur SIcherung der 
Datenintegrifat Oder auch nur zur Identitatskontrol- 
fe. 

Das erfindungsgem§sse Varfahren lasst slch mlt 
als solchen bekannten Mitfeln realisieren. Eine fur 
den authentifizierten Schlusseiaustausch zwecks 
Chiffrierung geeignete Anordnung ist Z.B. in der 
.eingangs erwShnten deutschen Auslegeschrfft DE- 
A 3 315 262 beschrieben. 

Die Ensatzmoglichkeften des beschriebenen 
Verfahrens sind aufgrund der erwahnten Vorteile 
ziamlich breit: Mobiles Telephon, Militarfunk, Com- 
putemetze und POS-Terminais, 

Das beschriebene Schlusselaustauschverfah- 
ren Ist ein «pubiic key» Verfahren m'rt einem einzi- 
gen SchiGssel, das einen authentifizierten Schlus- 
selaufbau zwischen zwei beliebigen Benutzem er- 
taubt Es wird off-line betrfeben, ist flexibel in bezug 
auf Erwefterungen durch neue Benutzer und hat ei- 
nen geringen Speioherbedarf. Der Rechenaufwand 
1st im wesendichen der gleiche wie belm wait verbrei- 
teteh Drffie-HeDmann-Verfahren. Die etwas auf- 
wendigere Et-Gamal Signatur wird jeweils von der 
SchlSsselverteilzentrale und ausserdem fQr jeden 
Benutzer nur einmal durchgefuhrt 

Paterttansprfiche 

1. Verfahren zum airthenfifeierten SchlGsseiaus- 
tausch in efnem Netz m'rt einer Schiusselverteilzen- 
trale und mehreren Teilnehmem A, B, dadurch ge- 
kermzeichnet, dass in einer Praauthentifikations- 
phase 

a) die SchlusselverteHzentrale eine Funktion f(.) 
zur Erzeugung von ldentitatsnummem, einen 
endlfchen Koiper GF(q), in welchem die Rechen- 



operationen ausgefuhrt werden, eine Funktion g: 
GF(q) x GF(q) -> GF(q), ein prirntth/es Hement 
a e GF(q) und eine geheime erste ZufaDszahi x 
wahft, aus welchen sie einen offentfichen Netz* 
schiusse! y = cr x bildet, 

b) die SchiGsseiverteitzentrale jedem Benutzer ei- 
ne Identitatsnummer ID * f(A) signiert, fndem die 
SchlOsselverteflzentrale eine geheime zwerte Zu- 
failszahl k wahlt, welche die Efgenschaft gcd{k, 
q-1) = 1 hat, aus der ZufaHszahl k einen offienffi- 
chen BenutzerschlOsset r « a k und einen gehei- 
men Benutzerschlussel s mit der Hgenschaft 
xr+ks = ID mod (q-1) bildet und dem Benutzer sei- 
ne beiden Benutzerschlussel mitteiit, 

und dass in einer Schlusselaustauschphase zw- 
schen einem ersten Benutzer A und einem zwei- 
ten Benutzer B 

c) jeder der beiden Benutzer A resp. B dem ande- 
ren seinen offentJichen Benutzerschlussel r 
resp. r mitteiit, 

d) jeder der beiden Benutzer A resp. B die identi- 
tatsnummer ID* = f{B) resp. ID = f(A) bildet und 
aus dieser Identitatsnummer und dem Benutzer- 
schlOssel f resp. r des jewefls anderen eine 
Gr6sse = resp. p = JPf bildet, 

e) jeder der beiden Benutzer A resp. B eine ge- 
heime Zufallszahi t resp. t* etzeugt und damit ei- 
nen Code r* resp. K bildet welchen er dem an- 
deren Benutzer B resp* A mitteiit und 

f) die beiden Benutzer A und B einen gemeinsa- 
men geheimen Kommunikat'pnsschlDssei z - 
g(rfsr^t)biicien. 

2. Verfahren nach Anspruch 1 f dadurch gekenn- 
zeichnet, dass die Funktion g{.,.} die Multiplikaiion 
im endlichen Kdrper GF(q) ist 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dass die Funktion fQ eine Bnwegfunktion 
ist 
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svz 



select: fU/GFCq), g( 7 .) 7 cCEGECq) 
x random: X 



• ID« f(A) 

• k random 
gcd {k,q-1)= 1 

• select 5 
xr+ks«ID.mod(q-1) 

r,s 



f(.) r GF(q) 
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lD,r 



ID' = f(B) 
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